Nueve extensiones publicadas en el marketplace de Visual Studio Code estaban usando PowerShell para instalar el criptominero XMRig, que mina Ethereum y Monero sin que el usuario se dé cuenta.
¿Qué extensiones estaban infectadas?
Estas extensiones aparentaban ser herramientas útiles para desarrollo, pero contenían código malicioso. Algunas incluso tenían decenas de miles de descargas:
- Discord Rich Presence for VS Code – 189K instalaciones
- Rojo – Roblox Studio Sync – 117K
- Solidity Compiler – 1.3K
- Claude AI
- Golang Compiler
- ChatGPT Agent for VSCode
- HTML Obfuscator
- Python Obfuscator for VSCode
- Rust Compiler for VSCode
Todas las extensiones eran del mismo autor o con variaciones del nombre “Mark H”.
¿Cómo funcionaba el ataque? ️
- Descargaban un script desde `https://asdf11[.]xyz/`
- El script:
- Desactiva Windows Update y Defender ️
- Crea una tarea programada falsa (“OnedriveStartup”)
- Agrega exclusiones para evitar antivirus
- Usa técnicas como DLL hijacking para obtener privilegios elevados
- Finalmente, descargan y ejecutan el minero XMRig desde
myaunet[.]su, lo que consume recursos de tu PC ⚒️
¿Qué hacer si instalaste una?
Si alguna de estas extensiones está instalada en tu VSCode:
- Desinstalala de inmediato desde el Marketplace
- Revisá tareas programadas en tu sistema (buscá “OnedriveStartup”)
- Chequeá exclusiones en Windows Defender
- Buscá archivos maliciosos como
Launcher.exeoMLANG.dll
Microsoft ya eliminó las extensiones y bloqueó al autor
Conclusión
Aunque parezcan legítimas, verificá siempre la reputación y autor de una extensión.
Si el nombre del autor no tiene historial o si hay algo raro en los permisos, mejor no instalarla. ¡El número de descargas no siempre significa que sea confiable!
¿Querés que te lo convierta en un resumen visual tipo infografía o slide para redes?